Schweregradskala:  
  (99/100)

STOP-Erpressersoftware. Richtig entfernen? (Anleitung für die Deinstallation)

von Gabriel E. Hall - - | Virustyp: Ransomware

STOP-Ransomware immer noch ein aktiver dateisperrender Virus, der auch in 2019 mit der aufwändigen Masche Geld erpresst

STOP-Kryptovirus

Die STOP-Ransomware ist ein Data-Locker (dt. Datensperrer), welcher erstmals im Dezember 2017 veröffentlicht wurde. Die Schadsoftware nutzt eine Kombination aus den Algorithmen AES und RSA, um die Daten zu verschlüsseln und markiert sie anschließend mit der Dateierweiterung .STOP. Allerdings tauchen fast jeden Monat neue Versionen des Virus auf. Zurzeit werden die folgenden Erweiterungen an betroffene Dateien hinzugefügt: .SAVEfiles, .puma, .pumas, .pumax, .pumax, .shadow und .keypass. Zudem ist erwähnenswert, dass die Keypass-Ransomware und die Djvu-Ransomware zu den berüchtigtsten Varianten gehören und Schlagzeilen machten, als sie Opfer aus über 20 Ländern angriffen. Im Moment ist Djvu die aktivste Version von STOP und verlangt einen Betrag von 300 – 600 USD für das Entschlüsselungsprogramm. Die Schadsoftware verwendet _openme.txt, !.readme.txt oder ähnliche Namen für die Dateien, die die Erpresserbriefe enthalten und Opfer dazu auffordern sich über restoredjvu@firemail.cc, stopfilesrestore@bitmessage.ch, helpshadow@india.com oder ähnliche E-Mail-Adressen an die Verbrecher zu wenden.

Zusammenfassung der Cyberbedrohung
Name STOP-Ransomware
Typ Kryptovirus
Verschlüsselungsalgorithmus AES und RSA-1024
Hinzugefügte Dateierweiterungen .STOP, .SUSPENDED , .WAITING, .CONTACTUS, .DATASTOP, .PAUSA, .KEYPASS, .WHY, .SAVEfiles, .DATAWAIT, .INFOWAIT, .puma, .pumax, .pumas, .shadow, .djvu. .djvuu. .djvus, .udjvu, .uudjvu
Erpresserbriefe

!!! YourDataRestore !!! txt,
!!RestoreProcess!!!.txt,
!!!!RESTORE_FILES!!!.txt,
!!!DATA_RESTORE!!!.txt
!!!DECRYPTION__KEYPASS__INFO!!!.txt
!!!WHY_MY_FILES_NOT_OPEN!!!.txt
!!SAVE_FILES_INFO!!!.txt
!readme.txt

Höhe des Lösegelds 300 – 600 USD
E-Mail-Adressen zur Kontaktaufnahme

stopfilesrestore@bitmessage.ch
topfilesrestore@india.com
suspendedfiles@bitmessage.ch
suspendedfiles@india.com
decryption@bitmessage.ch
BM-2cUMY51WfNRG8jGrWcMzTASeUGX84yX741@bitmessage.ch
keypassdecrypt@india.com
decryptionwhy@india.com
savefiles@india.com
helpshadow@india.com
helpshadow@firemail.cc
restoredjvu@india.com
restoredjvu@firemail.cc 

Verbreitungsmethoden Schädliche Spammails, gehackte Webseiten, Exploits, Brute-Force-Angriffe usw.
Decryptor/Entschlüsselungsprogramm Hier herunterladen (direkter Download)
Installieren Sie Reimage und führen Sie eine vollständige Systemüberprüfung aus, um die STOP-Erpressersoftware zu entfernen

Die STOP-Ransomware wurde erstmals im Dezember 2017 entdeckt. Im August 2018 und in einigen Vormonaten tauchten jedoch neue Varianten auf. Die Varianten verhalten sich zwar alle ähnlich, aber fügen neue Dateierweiterungen an die verschlüsselten Daten an, bieten leicht abweichende Erpresserbriefe und geben neue E-Mail-Adressen zur Kontaktaufnahme an.

Die Originalversion der Schadsoftware fügt die Dateiendung .STOP hinzu, um die Dateien auf dem betroffenen Windows-Computer unzugänglich zu machen. Sobald die STOP-Ransomware die Verschlüsselungsprozedur beendet hat, hinterlässt der Virus eine Lösegeldforderung in der Datei „!!!!!!! YourDataRestore !!!!! txt“. Die darin enthaltene Botschaft informiert die Opfer, dass sie das Lösegeld innerhalb von 72 Stunden bezahlen müssen.

Die Autoren des STOP-Virus verlangen die Bezahlung von 600 Dollar in drei Tagen. Als Beweis erlauben die Hacker es 1-3 „nicht sehr große“ Dateien zur kostenlosen Testentschlüsselung an stopfilesrestore@bitmessage.ch oder stopfilesrestore@india.com zu senden. Dies sind jedoch möglicherweise die einzigen Dateien, die man nach dem Ransomware-Angriff zurückerhält. Sobald man das Lösegeld bezahlt hat, könnten sich die Gauner aus dem Staub machen. Schließlich haben sie bereits das bekommen, was sie wollten.

Wir möchten außerdem besonders hervorheben, dass die Zahlung des geforderten Lösegeldes sehr riskant ist und zu enormen Geldverlust führen kann. Bezahlt man die 600 USD, ist es nicht abwegig zu denken, dass man erneut zur Zahlung gebeten wird, aber diesmal eine höhere Summe. Verweigert man die Zahlung, steht man ohne das versprochene Entschlüsselungsprogramm da und niemand wird helfen können, die Verbrecher aufzuspüren und das Geld zurück zu bekommen. Also vermeiden Sie am besten jeglichen Kontakt mit den Gaunern und probieren Sie den offiziellen Entschlüsseler für den STOP-Virus aus, welchen Sie am Ende des Artikels finden können.

STOP-Dateivirus

Wir empfehlen zunächst dringend, die Wiederherstellung der Daten für einen Moment zu vergessen. Die wichtigste Aufgabe besteht darin die STOP-Ransomware vom Computer zu entfernen, um das System wieder sicher zu machen. Aus diesem Grund empfehlen wir, den betroffenen Computer mit einer Anti-Malware wie Reimage zu scannen. 

Für die Entfernung der STOP-Ransomware ist es wichtig, professionelle Sicherheitstools zu verwenden, da die Cyberbedrohung die Windows-Registry verändern, neue Schlüssel erstellen, bösartige Dateien installieren und legitime Systemprozesse beeinträchtigen kann. Das hat zur Folge, dass eine manuelle Entfernung nahezu unmöglich ist. Wenn Sie diese Einträge selbst suchen und einfach löschen, könnten Sie Ihren Computer beschädigen. Gehen Sie das Risiko also lieber nicht ein.

Sobald Sie sich um die Entfernung der STOP-Ransomware gekümmert haben, können Sie Ihr externes Speichergerät mit Backups anschließen oder die gewünschten Dateien aus Ihrem Cloud-Speicher importieren. Wenn Sie Ihre Dateien zuvor nicht gesichert hatten und hierdurch keine vollständige Datenwiederherstellung bewirken können, können Sie Tools von Drittanbietern ausprobieren. Wir werden hierzu einige am Ende des Artikels erwähnen. Wir hoffen, dass Sie hiermit einige Ihrer Dateien retten können. Experten haben übrigens vor Kurzem einen Decryptor für diese Ransomware veröffentlicht, der manche Daten wiederherstellen kann. Wir stellen den Decryptor ebenfalls unterhalb des Artikels bereit.

2018 gab es fast jeden Monat neue Ransomware-Varianten

Suspended-Ransomware

Im Februar letzten Jahres berichteten Schadsoftware-Forscher über eine Variante der STOP-Ransomware, die Dokumente, Multimediadateien, Datenbanken, Archive und viele andere Dateien mit der Dateiendung .SUSPENDED sperrt. Das Verhalten dieser Ransomware ist den Vorgängerversionen ähnlich, lädt aber nach der Dateiverschlüsselung einen anderen Erpresserbrief herunter.

Die Suspended-Ransomware liefert ihre Wiederherstellungsanweisungen in der Datei „!!!RestoreProcess!!!.txt und fordert dazu auf die eindeutige Opfer-ID und einige wenige gewünschte Dateien zur Entschlüsselung an die E-Mail-Adresse suspendedfiles@bitmessage.ch oder suspendedfiles@india.com zu senden. Die Höhe des Lösegeldes und die Frist sind unverändert.

Durch STOP-Virus verschlüsselte Daten

CONTACTUS-Erpressersoftware

Ende Mai erschien eine weitere Variante des STOP-Virus. Diese Version verwendet die Dateierweiterung .CONTACTUS, um bestimmte Dateien zu sperren. Nicht nur das angehängte Suffix wurde geändert, sondern auch das Dokument mit den Anweisungen für die Wiederherstellung der Dateien wurde umbenannt und heißt jetzt !!!!!RESTORE_FILES!!!!.txt. Die E-Mail-Adressen zur Kontaktaufnahme wurden auf decryption@bitmessage.ch und decryption@bitmessage.ch geändert:

All your important files were encrypted on this PC.
All files with .CONTACTUS extension are encrypted.
Encryption was produced using unique private key RSA-1024 generated for this computer.

To decrypt your files, you need to obtain private key + decrypt software.

To retrieve the private key and decrypt software, you need to CONTACTUS us by email decryption@bitmessage.ch send us an email your !!!RESTORE_FILES!!!.txt file and wait for further instructions.

For you to be sure, that we can decrypt your files – you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Price for decryption $600 if you contact us first 72 hours.

Your personal id:
[redacted 40 characters]

E-mail address to contact us:
decryption@bitmessage.ch

Reserve e-mail address to contact us:
decryption@india.com

SaveFiles-Ransomware

Eine weitere Version der STOP-Erpressersoftware erschien im September 2018. Nach der Nutzung der Datei urpress.exe als Hauptprogramm, verschlüsselt die Ransomware die Daten und markiert sie mit dem Anhängsel .SAVEfiles. Wie bei anderen Versionen auch, geschieht dies mithilfe der Verschlüsselungsmethoden AES und RSA. Im Anschluss der Modifizierungen auf dem Computer platziert die Ransomware in allen Verzeichnissen, die verschlüsselte Dateien enthalten, ihren Erpresserbrief namens !!!!SAVE_FILES_INFO!!!!.txt.

Die Lösegeldforderung lautet wie folgt:

WARNING!

Your files, photos, documents, databases and other important files are encrypted and have the extension: .SAVEfiles
The only method of recovering files is to purchase an decrypt software and unique private key.

After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
Only we can give you this key and only we can recover your files.

You need to contact us by e-mail BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch send us your personal ID and wait for further instructions.

For you to be sure, that we can decrypt your files – you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.

Price for decryption $500.
This price avaliable if you contact us first 72 hours.

E-mail address to contact us:
BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch

Reserve e-mail address to contact us:
savefiles@india.com

Your personal id:

Wie Sie sehen können, behaupten die Virenentwickler darin, dass sie das Tool zur Wiederherstellung und Entschlüsselung der Dateien besitzen und ermutigen dazu, sie über die E-Mail-Adresse savefiles@india.com zu kontaktieren. Wir raten hiervon dringend ab, da Kriminelle nicht vertrauenswürdig sind. Befolgen Sie lieber die unten aufgeführte Anleitung, um die STOP-Ransomware zu beseitigen. Sie können hierzu gerne Programme wie Reimage oder SpyHunterCombo Cleaner verwenden. Führen Sie eine vollständige Systemüberprüfung aus, um das System zu bereinigen. Anschließend können Sie Datenrettungstools ausprobieren und die Dateien wiederherstellen.

Puma-Erpressersoftware

Die Ransomware Puma ist ein entschlüsselbarer Virus. Im Falle einer Infizierung können Sie sich also glücklicher als andere Ransomware-Opfer nennen, da Sie die verschlüsselten Dateien wiederherstellen können. Zu beachten gilt, dass nur Dateien mit den Anhängen .puma, .pumas und .pumax entschlüsselt werden können, und zwar mit einem speziellen Entschlüsseler (Direktlink angegeben), der von Virenexperten entwickelt wurde. Achten Sie darauf, dass Sie diesen Decrypter erst dann ausprobieren, wenn Sie die Schadsoftware aus dem System entfernt haben. Andernfalls wird das Verschlüsselungsverfahren einfach erneut gestartet.

Befindet sich der Virus im System, hinterlegt er seine Lösegeldforderung in der Datei !readme.txt, um seine Opfer über die aktuelle Situation zu informieren. Vorher startet die Schadsoftware ihr Verschlüsselungsverfahren (dazu verwendet sie AES- und RSA-Algorithmen), um alle auf dem System installierten Dateien nutzlos zu machen. Opfer haben danach 72 Stunden Zeit, um die Hacker zu kontaktieren. Um weitere Probleme auf dem Computer zu vermeiden, sollte man hiervon jedoch absehen.

Decryptor der STOP-Ransomware

Shadow-Ransomware

Anfang Dezember 2018 entdeckten Forscher eine Variante, die die Erweiterung .shadow an verschlüsselte Dateien anhängt. Diese Dateierweiterung wurde erstmals 2017 vom Ransomware-Virus BTCWare verwendet und scheint nun auch von den Erstellern der STOP-Schadsoftware übernommen worden zu sein.

Die Shadow-Ransomware nutzt einen Erpresserbrief namens !readme.txt. Hierin wird erklärt, wie man die Zahlung mithilfe von Bitcoin durchführen kann. Ferner bieten die Gauner das kostenlose Entschlüsseln einer Datei an, um zu beweisen, dass der Decodierer tatsächlich funktioniert. Die E-Mails helpshadow@india.com oder helpshadow@firemail.cc sollen bei der Kommunikation helfen. Der angebliche 50%ige Rabatt auf das Lösegeld soll innerhalb der ersten 72 Stunden nach der Infizierung gültig sein.

Wie üblich empfehlen wir, jeglichen Kontakt mit Erpressern zu vermeiden. Obwohl dieser Virus zum Zeitpunkt des Schreibens nicht entschlüsselbar ist, empfiehlt es sich zu warten, bis ein kostenloser Decoder veröffentlicht wird, wie es auch bei der Puma-Ransomware der Fall war.

Djvu-Erpressersoftware

Die neueste Version ist die Djvu-Ransomware, die mehrere Erweiterungen hinzufügt: .djvu, .djvus, .djvuu, .djvuu, .udjvu, .uudjvu, .djvuq und .djvur. Der Virus hat es bereits geschafft Tausende von Computernutzern zu infizieren. Das beliebteste Verbreitungsmittel hat ihm dabei geholfen sich in das Zielsystem zu schleichen – Spammails. Opfer erhalten in der Regel eine E-Mail, die mehr Informationen über ihr Paket, ihre Rechnung, einen Bericht oder eine Lieferung bietet. Das Herunterladen des Anhangs hat jedoch zur Folge, dass der Virus in das System gelangt.

Die Djvu-Ransomware ist nicht entschlüsselbar. Die einzige Möglichkeit, um verschlüsselte Daten wiederherzustellen, besteht somit darin, zuerst den Virus zu entfernen und dann Tools von Drittanbietern auszuprobieren. Wenn Sie Ihre Dateien gesichert haben, bevor sie verschlüsselt wurden, sollten Sie bei der Wiederherstellung keine Probleme haben. Löschen Sie einfach die verschlüsselten Dateien und übertragen Sie Ihre Sicherheitskopien.

Kryptoviren können in das System gelangen, sobald man eine bösartige Spammail öffnet

Die Programmdateien von dateiverschlüsselnden Viren verbreiten sich typischerweise über bösartige Spammails, die mit Anhängen versehen sind. Unter Anwendung von Methoden des Social Engineerings überlisten Kriminelle ihre Opfer dazu die verschleierten Anhänge zu öffnen und Schadsoftware in das System zu lassen. Eine gefährliche E-Mail lässt sich anhand dieser Merkmale erkennen:

  • Die E-Mail wird nicht erwartet (z.B. Sie haben nichts bei Amazon bestellt und erwarten nicht, dass ein FedEx-Kurier ein Paket bringt).
  • Dem Brief fehlen Referenzen wie Firmenlogo oder Unterschrift.
  • Die E-Mail ist voller Fehler oder seltsam strukturierter Sätze.
  • Der Brief hat keine Betreffzeile, das Nachrichtenfeld ist leer und es ist nur ein Anhang enthalten.
  • Der Inhalt der E-Mail drängt darauf, die Informationen im Anhang zu überprüfen.
  • Die E-Mail-Adresse des Absenders erscheint verdächtig. 

STOP-Schadsoftware

Spezialisten von NoVirus.uk weisen jedoch darauf hin, dass die Schadsoftware sich auch über andere Techniken in das System einschleichen kann, wie bspw., wenn man auf eine bösartige Anzeige klickt oder korrupte Programme/Updates herunterlädt.

Aus diesem Grund wird Internetnutzern empfohlen zu lernen, wie man potenzielle Risiken identifiziert, die im Internet lauern. Wir möchten daran erinnern, dass keine Sicherheitssoftware vollständig vor Ransomware-Angriffe schützen kann. Vorsicht beim Anklicken und beim Herunterladen, sowie ein Erstellen und regelmäßiges Aktualisieren von Backups ist daher ein absolutes Muss!

Entfernen Sie die STOP-Ransomware, um die Dateien wiederherzustellen

Zunächst einmal möchten wir davon abraten, Ransomware manuell zu entfernen. Cyberbedrohungen dieser Art bestehen aus zahlreichen Dateien und Komponenten, die wie legitime Systemprozesse aussehen könnten. Man könnte folglich die falschen Einträge löschen und mehr Schaden anrichten. Aus diesem Grund ist die automatische Entfernung der STOP-Ransomware die einzige Option.

Der Virus kann allerdings den Zugriff auf die Sicherheitssoftware blockieren, die für die Entfernung benötigt wird. Sie müssen den Virus daher zuerst deaktivieren, indem Sie in den abgesicherten Modus mit Netzwerktreibern wechseln. Die folgenden Anweisungen erklären, wie dies funktioniert. Es spielt keine Rolle, welche Version der Schadsoftware den PC infiziert hat, die Entfernungsanleitung ist die gleiche.

Laden Sie im abgesicherten Modus Reimage, Malwarebytes Malwarebytes oder SpyHunterCombo Cleaner herunter, installieren Sie die Sicherheitssoftware und aktualisieren Sie sie. Führen Sie dann eine vollständige Systemüberprüfung durch und warten Sie, bis das Programm die Reinigung des Systems abgeschlossen und die STOP-Ransomware entfernt hat. Danach können Sie Ihren Datenträger mit Backups anschließen, um die Dateien wiederherzustellen oder die unten aufgeführten alternative Methoden ausprobieren.

Angebot
Jetzt säubern!
Herunterladen
Entferner: Reimage garantierte
Zufriedenheit
Herunterladen
Entferner: Reimage garantierte
Zufriedenheit
mit Microsoft Windows kompatibel Supported versions mit OS X kompatibel Supported versions
Was ist zu tun, wenn das Programm nicht hilft?
Wenn Sie mit Reimage den Virenschaden nicht beheben konnten, kontaktieren Sie uns über Fragt uns und stellen Sie Ihre Frage. Geben Sie dabei alle Einzelheiten an.
Reimage wird empfohlen, um den Virenschaden zu beheben. Der kostenlose Scanner lässt einen überprüfen, ob der Computer infiziert ist oder nicht. Falls Sie Schadsoftware entfernen müssen, müssen Sie die lizenzierte Version von Reimage erwerben.

Anleitung für die manuelle Entfernung des STOP-Virus:

Entfernen Sie STOP mit Safe Mode with Networking

Führen Sie diese Schritte aus, um den Computer in den abgesicherten Modus mit Netzwerktreibern zu starten, wodurch die STOP-Ransomware vorübergehend deaktiviert wird:

  • Schritt 1: Starten Sie den Computer in den Modus Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Klicken Sie auf Start Shutdown Restart OK.
    2. Sobald der Computer aktiv wird, sollten Sie anfangen mehrmals F8 zu drücken bis Sie das Fenster Advanced Boot Options sehen.
    3. Wählen Sie Safe Mode with Networking von der Liste Wählen Sie 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Drücken Sie im Windows-Anmeldebildschirm auf den Button Power. Halten Sie nun auf Ihrer Tastatur Shift gedrückt und klicken Sie auf Restart..
    2. Wählen Sie nun Troubleshoot Advanced options Startup Settings und drücken Sie zuletzt auf Restart.
    3. Wählen Sie, sobald der Computer aktiv wird, im Fenster Startup Settings Enable Safe Mode with Networking. Wählen Sie 'Enable Safe Mode with Networking'
  • Schritt 2: Entferne STOP

    Melden Sie sich am infizierten Computer an und starten Sie den Browser. Laden Sie Reimage oder eine andere legitime Anti-Spyware herunter. Aktualisieren Sie das Programm bevor Sie einen vollständigen Systemscan ausführen und entfernen Sie die schädliche Dateien, die zu der Ransomware gehören und stellen Sie die Entfernung von STOP fertig.

Probieren Sie folgende Methode aus, falls die Ransomware Safe Mode with Networking blockiert.

Entfernen Sie STOP mit System Restore

Diese Methode kann ebenfalls dabei helfen, den Virus automatisch loszuwerden:

  • Schritt 1: Starten Sie den Computer in den Modus Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Klicken Sie auf Start Shutdown Restart OK.
    2. Sobald der Computer aktiv wird, sollten Sie anfangen mehrmals F8 zu drücken bis Sie das Fenster Advanced Boot Options sehen.
    3. Wählen Sie Command Prompt von der Liste Wählen Sie 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Drücken Sie im Windows-Anmeldebildschirm auf den Button Power. Halten Sie nun auf Ihrer Tastatur Shift gedrückt und klicken Sie auf Restart..
    2. Wählen Sie nun Troubleshoot Advanced options Startup Settings und drücken Sie zuletzt auf Restart.
    3. Wählen Sie, sobald der Computer aktiv wird, im Fenster Startup Settings Enable Safe Mode with Command Prompt. Wählen Sie 'Enable Safe Mode with Command Prompt'
  • Schritt 2: Stellen Sie Ihre Systemdateien und -einstellungen wieder her.
    1. Sobald das Fenster Command Prompt auftaucht, geben Sie cd restore ein und klicken Sie auf Enter. Geben Sie 'cd restore' ohne die Anführungszeichen ein und drücken Sie auf 'Enter'
    2. Geben Sie nun rstrui.exe ein und drücken Sie erneut auf Enter.. Geben Sie 'rstrui.exe' ohne die Anführungszeichen ein und drücken Sie auf 'Enter'
    3. Wenn ein neues Fenster auftaucht, klicken Sie auf Next und wählen Sie einen Wiederherstellungspunkt, der vor der Infiltrierung von STOP liegt. Klicken Sie anschließend auf Next. Wenn das Fenster 'System Restore' auftaucht, wählen Sie 'Next' Wählen Sie den Wiederherstellungspunkt und klicken Sie auf 'Next'
    4. Klicken Sie nun auf Yes, um die Systemwiederherstellung zu starten. Klicken Sie auf 'Yes' und starten Sie die Systemwiederherstellung
    Nachdem Sie das System zu einem früheren Datum wiederhergestellt haben, vergewissern Sie sich, dass die Entfernung von STOP erfolgreich war, indem Sie Reimage herunterladen und damit den Computer scannen.

Bonus: Wiederherstellung der Daten

Die oben aufgeführte Anleitung soll dabei helfen STOP vom Computer zu entfernen. Für die Wiederherstellung der verschlüsselten Dateien empfehlen wir eine ausführliche Anleitung von den Sicherheitsexperten von dieviren.de zu nutzen.

Wenn Ihre Dateien von STOP verschlüsselt worden sind, haben Sie für die Wiederherstellung mehrere Möglichkeiten:

Probieren Sie Data Recovery Pro aus

Ursprünglich wurde dieses Tool entwickelt, um Dateien nach einem Systemabsturz oder einer Löschung wiederherzustellen. Es kann jedoch auch nach einem Ransomware-Angriff hilfreich sein.

  • Data Recovery Pro herunterladen;
  • Führen Sie die Schritte der Data Recovery aus und installieren Sie das Programm auf dem Computer;
  • Starten Sie es und scannen Sie den Computer nach Dateien, die von STOP verschlüsselt worden sind;
  • Stellen Sie sie wieder her.

Nutzen Sie die Vorteile des Windows-Features Vorgängerversionen

Diese Methode ermöglicht das Kopieren von zuvor gespeicherten Dateiversionen, wenn die Systemwiederherstellung vor dem Ransomware-Angriff aktiviert war.

  • Suchen Sie nach einer verschlüsselten Datei, die Sie wiederherstellen möchten und führen Sie einen Rechtsklick darauf aus;
  • Selektieren Sie “Properties” und gehen Sie zum Reiter “Previous versions”;
  • Kontrollieren Sie hier unter “Folder versions” alle verfügbaren Kopien. Wählen Sie die Version aus, die Sie wiederherstellen möchten und klicken Sie auf “Restore”.

Versuchen Sie es mit ShadowExplorer

ShadowExplorer kann Dateien aus Schattenkopien wiederherstellen, wenn die STOP-Ransomware sie nicht gelöscht hat.

  • Laden Sie Shadow Explorer (http://shadowexplorer.com/) herunter;
  • Folgen Sie den Anweisungen des Einrichtungsassistenten von Shadow Explorer und installieren Sie die Anwendung auf dem Computer;
  • Starten Sie das Programm und wählen Sie mithilfe des Auswahlmenüs oben links in der Ecke ihre Festplatte mit den verschlüsselten Daten aus. Kontrollieren Sie die vorhandenen Ordner;
  • Führen Sie auf den wiederherzustellenden Ordner einen Rechtsklick aus und wählen Sie “Export”. Sie können ebenfalls auswählen, wo der Ordner wiederhergestellt werden soll.

Kürzlich wurde der STOP-Decryptor entdeckt. Sie können diesen hier (direkter Downloadlink) finden

Als Letztes sollten Sie sich natürlich immer über den Schutz vor Crypto-Ransomware Gedanken machen. Um den Computer vor STOP und anderer Ransomware zu schützen, sollten Sie eine bewährte Anti-Spyware, wie beispielsweise Reimage, SpyHunterCombo Cleaner oder Malwarebytes Malwarebytes, nutzen.

Über den Autor

Gabriel E. Hall
Gabriel E. Hall - Leidenschaftliche Internetforscherin

Wenn Ihnen die kostenlose Entfernungsanleitung geholfen hat und Sie mit unserem Service zufrieden sind, möchten wir Sie um eine Spende bitten, sodass wir unsere Hilfe weiter anbieten können. Jeder noch so kleine Betrag ist herzlich willkommen.

Gabriel E. Hall kontaktieren
Über die Firma Esolutions

Quelle: https://www.2-spyware.com/remove-stop-ransomware.html

Entfernungsanleitungen in anderen Sprachen


Eure Meinung über STOP ransomware